Google Takvim uygulaması bilgisayar korsanları tarafından istismar edilebilir

The Hacker News'e göre Google, çok sayıda tehdit aktörü tarafından, komuta ve kontrol (C2) altyapısını barındırmak için takvim servisini kullanan genel istismarları paylaştığı konusunda uyardı.

Google Takvim RAT (GCR) adı verilen araç, uygulamanın etkinlik özelliğini kullanarak bir Gmail hesabı üzerinden komut ve kontrol sağlıyor. Program ilk olarak Haziran 2023'te GitHub'da yayınlandı.

Güvenlik araştırmacısı MrSaighnal, kodun Google'ın takvim uygulamasındaki etkinlik açıklamalarını istismar ederek gizli bir kanal oluşturduğunu söyledi. Google, sekizinci Tehdit Raporu'nda, aracın gerçek hayatta kullanıldığını gözlemlemediğini, ancak Mandiant tehdit istihbarat biriminin yeraltı forumlarında kavram kanıtı (PoC) istismarlarını paylaşan birkaç tehdit tespit ettiğini belirtti.

Google, GCR'nin ele geçirilmiş bir makinede çalıştığını, olay açıklamasını düzenli olarak yeni komutlar için taradığını, bunları hedef cihazda çalıştırdığını ve açıklamayı komutla güncellediğini söylüyor. Aracın meşru bir altyapıda çalışması, şüpheli etkinlikleri tespit etmeyi zorlaştırıyor.

Bu vaka, tehdit aktörlerinin kurbanların cihazlarına sızmak ve saklanmak için bulut hizmetlerini endişe verici şekilde kötüye kullandığını bir kez daha gözler önüne seriyor. Daha önce, İran hükümetiyle bağlantılı olduğu düşünülen bir grup bilgisayar korsanı, makro içeren belgeler kullanarak Windows bilgisayarlarda bir arka kapı açmış ve e-posta yoluyla kontrol komutları göndermişti.

Google, arka kapının IMAP kullanarak bilgisayar korsanlarının kontrolündeki bir web posta hesabına bağlandığını, e-postalardaki komutları ayrıştırdığını, bunları yürüttüğünü ve sonuçları içeren e-postaları geri gönderdiğini söyledi. Google'ın tehdit analiz ekibi, kötü amaçlı yazılımın bir kanal olarak kullandığı saldırganların kontrolündeki Gmail hesaplarını devre dışı bıraktı.